침입 및 공격 시뮬레이션 (폐기됨)
경고: 이 기능은 GitLab 16.9에서 폐기되었으며 17.0에서 제거될 예정입니다. 이 변경 사항은 파괴적인 변경입니다.
면책 조항: 침입 및 공격 시뮬레이션은 인큐베이션 엔지니어링 부서에서 개발 중인 일련의 인큐베이팅 기능이며 시간이 흐를수록 상당한 변경이 있을 수 있습니다.
침입 및 공격 시뮬레이션 (BAS)은 감지된 취약점의 위험을 평가하고 취약점의 악용 가능성에 따라 대책을 우선 순위를 매기기 위해 추가적인 보안 테스트 기술을 사용합니다.
이 기능은 실험입니다. 피드백, 버그 보고 및 기능 요청은 피드백 이슈를 참조하십시오.
경고: BAS 스캔은 테스트 서버에 대해서만 실행하십시오. 공격자 행위를 테스트하는 것은 데이터의 수정 또는 손실로 이어질 수 있습니다.
동적 애플리케이션 보안 테스트(DAST) 확장
DAST를 사용하여 취약점을 탐지하는 공격을 시뮬레이션할 수 있습니다. 기본적으로, DAST의 활성 검사는 예상된 응답과 일치하거나 취약점이 악용되었는지를 응답 시간으로 결정합니다.
BAS 확장 DAST 스캐닝을 애플리케이션에 적용하려면 GitLab BAS CI/CD 템플릿 파일에 정의된 dast_with_bas
작업을 사용하십시오. 템플릿의 업데이트는 GitLab 업그레이드와 함께 제공되어 모든 개선 사항과 축가 사항을 활용할 수 있도록 합니다.
-
적절한 CI/CD 템플릿을 포함하십시오:
-
BAS.latest.gitlab-ci.yml
: BAS 템플릿의 최신 버전. (GitLab 16.0에서 소개됨)
경고: 최신 템플릿은 파괴적인 변경이 포함될 수 있습니다. 최신 템플릿에서만 제공되는 기능이 필요하지 않은 한 안정적인 템플릿을 사용하십시오.
템플릿 버전 관련 자세한 정보는 CI/CD 문서를 참조하십시오.
-
-
BAS 확장 DAST 스캔 실행 옵션 중 하나를 선택하십시오:
-
- 최신 DAST 템플릿을 아직 사용 중이 아님.
- DAST 스캔을 위해 안정적인 버전의 DAST 보안 분석기 이미지를 계속 사용하십시오.
- 기존 DAST 작업 구성을 확장하는 중복
dast_with_bas
작업을 생성하십시오.
-
- 안정적인 템플릿 대신 최신 DAST 템플릿을 이미 사용 중인 경우.
- 기존 DAST 작업에 최신 DAST 보안 분석기 이미지 태그를 Breach and Attack Simulation SEG로 확장하십시오.
-
별도의 BAS 확장 DAST 작업 활성화
BAS 확장 DAST 이미지를 테스트하는 동안 별도의 DAST 작업을 유지하려면:
-
GitLab CI/CD 단계 구성에
dast
단계를 추가하십시오.stages: - build - test - deploy - dast
-
DAST_WEBSITE
CI/CD 변수를 설정하십시오.dast_with_bas: variables: DAST_WEBSITE: http://yourapp
기존 DAST 작업 확장
기존 DAST 작업 내에 침입 및 공격 시뮬레이션 기능을 활성화하려면:
-
DAST CI/CD 작업 생성의 단계를 따르십시오.
-
extends 키워드를 사용하여 기존 DAST 작업 구성에
dast_with_bas
를 확장하십시오:dast: extends: .dast_with_bas
-
BAS 템플릿에 포함된
dast_with_bas
작업을DAST_BAS_DISABLED
로 설정하여 비활성화하십시오:variables: DAST_BAS_DISABLED: "true"
콜백 공격 활성화
면책 조항: 이 페이지에는 예정된 제품, 기능 및 기능과 관련된 정보가 포함되어 있습니다. 제시된 정보는 정보 제공 목적으로만 사용되는 것이 중요합니다. 구매 또는 계획 목적으로 이 정보에 의존해서는 안 됩니다. 이 페이지에 언급된 모든 항목은 변경되거나 지연될 수 있습니다. 제품, 기능 또는 기능의 개발, 릴리스 및 타이밍은 GitLab Inc.의 전적인 판단에 따라 결정됩니다.
일부 활성 체크에 대해 외부 애플리케이션 보안 테스트(OAST)를 수행합니다.
-
extends 키워드를 사용하여
.dast_with_bas_using_services
작업 구성을 확장합니다.dast: extends: .dast_with_bas_using_services dast_with_bas: extends: # 참고: 확장은 병합이 아닌 덮어쓰기이므로 dast는 이 목록에 포함되어야 합니다. - dast - .dast_with_bas_using_services
-
services
에서 기본callback
서비스 컨테이너를 가져오기 위해 !reference tag를 사용합니다.services: # 참고: 서비스는 덮어쓰기이므로 병합될 수 있도록 참조해야 합니다. - !reference [.dast_with_bas_using_services, services] # 참고: 응용 프로그램 컨테이너를 dast 작업에 연결하고 # Docker 서비스에 대한 자세한 내용은 다음 위치에서 확인하세요. # https://docs.gitlab.com/ee/user/application_security/dast/#docker-services - name: $CI_REGISTRY_IMAGE alias: yourapp
수동으로 콜백 공격을 활성화하려면 다음을 수행하세요: